Die EU hat nach Verabschiedung der DSGVO im April 2016 allen Beteiligten zwei Jahre Zeit gegeben, um sich auf die deutlich verschärften Compliance-Anforderungen der DSGVO vorzubereiten. Eine weitere Übergangsphase nach dem 28. Mai 2018, in welcher Bestimmungen der DSGVO etwa ganz oder teilweise nicht anzuwenden sind, ist nicht vorgesehen.
Anders als in der Vergangenheit, wo den Normen des Bundesdatenschutzgesetzes (BDSG) zentrale Bedeutung für die rechtliche Bewertung der Verarbeitung von personenbezogenen Daten zukam, ergänzt das neugefasste BDSG (Datenschutz-Anpassungs- und Umsetzungsgesetz vom 30. Juni 2017, verkündet im Bundesgesetzblatt 2017, Teil 1, Nr. 44 am 05. Juli 2017, S. 2097 f.) die DSGVO und nutzt in der DSGVO enthaltene sog. Öffnungsklauseln, um bestimmte Bereiche abweichend von der DSGVO oder ergänzend zu regeln. Diese ergänzenden Regelungen dürfen wiederum nicht in Widerspruch zu DSGVO stehen.
Wie bereits zuvor erörtert (vgl. unseren Beitrag „Be prepared: Änderungen im Umgang mit Kundendaten durch die DSGVO“ – Preu Bohlig Newsletter August 2017) beinhaltet die DSGVO keine spezifischen Regelungen für die Online-Branche, wie z.B. die Zulässigkeit von Cookies, Tracking, Social-Mediadienste etc. Diesen Bereich soll die neue ePrivacy-Verordnung ((ePV) – vgl. 2017/0003 (COD)) abdecken, welche ursprünglich parallel mit der DSGVO zum 25. Mai 2018 in Kraft treten sollte. Allerdings verzögert sich das Gesetzgebungsverfahren der ePV, u.a. aufgrund von Meinungsverschiedenheiten über die Zulässigkeit von Online-Tracking und Cookies, sodass mit dem Inkrafttreten einer noch abzustimmenden ePV nicht vor dem Jahr 2019 zu rechnen ist. Die sich ergebende gesetzgeberische Lücke bis zum Inkrafttreten der ePV ist nach Art. 95 DSGVO und dem Erwägungsgrund 173 zu Gunsten der bereichsspezifischen nationalen Datenschutzvorschriften, in Deutschland dem Telemediengesetz (TMG), zu lösen, welches jüngst im Oktober 2017 angepasst wurde. Auf die §§ 11 f. TMG ist zu verweisen.
Beim bisherigen Umgang mit zuständigen Aufsichtsbehörden für Datenschutz, z.B. im Falle einer Kundenbeschwerde, oblag es der Aufsichtsbehörde, den Verstoß des Unternehmens gegen datenschutzrechtliche Bestimmungen nachzuweisen. Dies ändert sich zukünftig grundlegend, denn nach Art. 5 Abs. 2 DSGVO heißt es:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können.“
In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Daten sowie Integrität und Vertraulichkeit) genannt. Kann der Verantwortliche keine Rechenschaft ablegen, stehen den Aufsichtsbehörden im Vergleich zur bisherigen Rechtslage deutlich erweiterte Befugnisse zu. Diese können Verwarnungen oder den Widerruf einer datenschutzrechtlichen Zertifizierung beinhalten sowie ferner Untersuchungsbefugnisse, z.B. die Anforderung aller im Unternehmen vorhandenen Informationen zur Durchführung der Datenschutzüberprüfung. Solche Untersuchungsbefugnisse können mit Zwangsmitteln, insbesondere Zwangsgeldern durchgesetzt werden. Insbesondere wenn sich ergibt, dass Verantwortliche vorsätzlich anwendbare Datenschutzbestimmungen in beträchtlicher Weise missachten, kann die Behörde abhängig von Art, Schwere und Dauer des jeweiligen Verstoßes Bußgelder bis zu 20 Million Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem was höher ist, verhängen.
Wie kann der Verantwortliche, in der Regel das Unternehmen, entsprechende Rechenschaft leisten?
Dies setzt zunächst eine gesetzeskonforme Dokumentation der Datenverarbeitung voraus, anhand derer nachzuweisen ist, dass die personenbezogenen Daten der betroffenen Person auf rechtmäßige Weise, für bestimmte festgelegte legitime Zwecke in sachlich richtiger Weise verarbeitet wurden. Ebenso wie nach bisherigem Recht, vgl. §§ 4g Abs. 2, 4e BDSG, mit dem Verfahrensverzeichnis, müssen Verantwortliche nach Art. 30 DSGVO ein Verarbeitungsverzeichnis erstellen, welches u.a. Namen und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener Daten und Personen sowie, wenn möglich, maßgebliche Löschungsfristen, etc. beinhalten sollte. In der Praxis wird das notwendige Verarbeitungsverzeichnis auf der Grundlage des (hoffentlich) bestehenden bisherigen Verfahrensverzeichnisses des Verantwortlichen zu erstellen und weiterzuentwickeln sein. In Zusammenhang mit den einzelnen Verarbeitungstätigkeiten sollte auch die jeweilige Rechtsgrundlage für die Verarbeitung, also z.B. der zugrundeliegende Vertrag bzw. die Einwilligung der betroffenen Personen, aufgeführt werden.
In Bezug auf die in der Praxis besonders wichtige Einwilligung betroffener Personen ist einerseits auf Art. 6 Abs. 1 a) DSGVO hinzuweisen, wonach eine Verarbeitung der eine Person betreffende personenbezogene Daten nur bei einer Einwilligung der Person „für einen oder mehrere bestimmte Zwecke“ rechtmäßig ist. Manche auf der Grundlage des bisherigen Rechts erteilte pauschale Kundeneinwilligungen (z.B.: „Ich bin mit der Verarbeitung meiner personenbezogenen Daten für Marketingzwecke einverstanden…“) werden diesen neuen Anforderungen nicht genügen und können keine hinreichende Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten nach Inkrafttreten der DSGVO begründen. Die entsprechenden personenbezogenen Daten sind dann zu löschen, falls keine neue, hinreichend bestimmte Einwilligung eingeholt wird. Der Einwilligungstext mitsamt dem zugehörigen Verfahren der Einholung der Einwilligung sind (elektronisch) zu dokumentieren, zu archivieren sowie auf Konformität mit der DSGVO zu überprüfen.
Jenseits der Dokumentation von Verarbeitungsvorgängen in Bezug auf personenbezogene Daten sind vom Verantwortlichen die zugehörigen internen Verfahrensvorschriften und Prozessregeln, wie eine interne Datenschutzrichtlinie, Unternehmensprozesse bei Umgang mit personenbezogenen Daten, z.B. bei Kundenbeschwerden, Löschungsverlangen, „Datenunfällen“ mitsamt den zugehörigen Organisationstrukturen im Management zu dokumentieren. Dies gilt auch für den Bereich der technischen Datensicherheit, beginnend bei Zutritts- und Zugangsregelungen, Firewalls, Verschlüsselungsregelungen etc.
Bestehende Verträge des Verantwortlichen, welche die Verarbeitung personenbezogener Daten mit umfassen, sind in Bezug auf die Einhaltung der neuen Standards der DSGVO zu überprüfen und entsprechend anzupassen, sofern geboten. Entsprechendes gilt auch für bestehende Auftragsdatenverarbeitungsvereinbarungen, welche auf DSGVO-Standards anzupassen sind.
Beinhaltet die Verarbeitung personenbezogener Daten aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich hohe Risiken für die Betroffenen, vgl. Art. 35 DSGVO, hat der Verantwortlich vorab eine zu dokumentierende Datenschutz-Folgenabschätzung durchzuführen. Dies erfordert eine Bewertung der angestrebten Zwecke der Verarbeitung und Abwägung der betroffenen Interessen und Rechte natürlicher Personen. Eine solche dokumentierte Datenschutz-Folgenabschätzung kann, z.B. bei einem systematischen Monitoring von Arbeitnehmern, beim Scoring und der Profilerstellung natürlicher Personen oder beim Umgang mit sensitiven personenbezogenen Daten (Gesundheit, Rasse, Region etc.) geboten sein.
Für verantwortliche Unternehmen, welche die notwendigen Maßnahmen zur Herstellung von DSGVO-Compliance bislang nicht umgesetzt haben, besteht dringender Anlass, dies unverzüglich in Angriff zu nehmen.